L'APPROCCIO CORRETTO

Tecnologie di Identity & Access Management: soluzioni per garantire la protezione dei dati

Le tecnologie di Identity & Access Management garantiscono l’identificazione dell’utente che accede a ciascuna risorsa aziendale proteggendo le credenziali utilizzate. Ecco come implementare delle corrette politiche di gestione dei dati personali secondo i principi del GDPR

02 Set 2019
G
Luigi Gangitano

Head of IT Development @ Luiss Guido Carli

All’interno di un percorso di digital transformation, o nella creazione di un nuovo business, la corretta gestione delle identità degli utenti riveste un ruolo chiave per garantire la necessaria protezione dei dati e abilitare nuovi servizi. Per realizzare questi obiettivi sono ampiamente diffuse tecnologie di Identity & Access Management (IAM), a cui si stanno affiancando meccanismi di autenticazione che semplificano la user experience e aumentano la sicurezza delle credenziali.

Tecnologie di Identity & Access Management: le soluzioni

Le soluzioni di Identity & Access Management consentono la gestione centralizzata delle identità digitali attraverso l’automazione dei processi di creazione (provisioning), modifica e cancellazione (de-provisioning) degli account associati a ciascun utente nelle piattaforme applicative e dei ruoli ad essi assegnati.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Le componenti principali di una soluzione di IAM sono:

  • un motore di automazione che sincronizza le informazioni riguardanti le identità a partire da fonti autoritative (elenco del personale, database degli utenti ecc.) in ciascuna piattaforma applicativa attraverso opportuni plugin;
  • un sistema di gestione dei ruoli associati a ciascuna identità e di configurazione delle autorizzazioni nelle piattaforme applicative in base ai ruoli (RBAC, Role Based Access Control);
  • un meccanismo di Single Sign-On (SSO) per il processo di autenticazione utente.

L’introduzione di un sistema di IAM apporta benefici immediati all’interno di un’organizzazione:

  • la centralizzazione e semplificazione delle procedure di gestione degli account per le strutture organizzative di controllo e la corrispondente riduzione dei costi;
  • l’applicazione dei principi di RBAC, conformi alle best practice della sicurezza informatica;
  • la riduzione del numero di credenziali che ciascun utente deve ricordare per accedere ai sistemi, attraverso la sincronizzazione di username e password;

Scenario d’uso delle tecnologie di Identity & Access Management

Uno scenario tipico prevede l’impiego di un sistema basato su tecnologie di Identity & Access Management per la creazione, gestione e cancellazione automatica degli account all’interno delle directory aziendali (ad esempio il dominio AD e i database che alimentano le web-application), a partire dalle informazioni presenti nel sistema di gestione del personale.

In una soluzione di questo tipo, a ciascuna identità sono associati nello IAM uno o più ruoli che vengono sincronizzati con l’appartenenza a gruppi nelle directory aziendali. A ciascun gruppo sono associate le autorizzazioni applicative.

Si può immaginare, ad esempio, che lo spostamento di una risorsa in un nuovo ufficio corrisponda alla modifica dei ruoli assegnati nello IAM e automaticamente si rifletta nella modifica delle autorizzazioni all’accesso alle diverse applicazioni.

L’aspetto riguardante le procedure di autenticazione è quello che si riflette maggiormente sulla sicurezza dei sistemi e sulla user experience.

Un sistema di autenticazione deve garantire l’identificazione dell’utente che accede a ciascuna risorsa, proteggendo le credenziali utilizzate.

Centralizzare questo processo con il Single Sign-On, consente di implementare in un unico punto le misure di sicurezza a protezione delle credenziali (cifratura del canale, prevenzione degli attacchi a forza bruta, registrazione degli accessi e delle autorizzazioni concesse) e contemporaneamente ridurre il numero di autenticazioni richieste all’utente quando passa da un’applicazione all’altra.

Nuovi protocolli di autenticazione: la Modern Authentication

Negli ultimi anni, accanto ai protocolli tradizionali come Kerberos, si sono diffusi protocolli di autenticazione pensati per le applicazioni web e mobile come SAML (Securit Assertion Markup Language) e OAuth/OpenID.

Questi protocolli separano logicamente il sistema gestore delle identità (Identity Provider, IdP) dal sistema che eroga il servizio (Service Provider, SP) e impiegano token web cifrati per lo scambio d’informazioni sull’identità dell’utente.

È possibile così concentrare le operazioni di autenticazione sull’IdP, eliminando i rischi connessi al transito delle credenziali sui sistemi applicativi e consentendo il Single Sing-On per applicazioni web e mobile, anche fornite da soggetti esterni all’organizzazione.

L’impiego di queste tecnologie in un ecosistema che può estendersi oltre i limiti delle applicazioni gestite all’interno dell’organizzazione, pensiamo ad esempio ai servizi SaaS erogati dai fornitori cloud, prende il nome di Modern Authentication.

Le principali piattaforme (Microsoft, Google, Facebook, LinkedIn e recentemente Apple) hanno adottato questo schema e consentono di collegare le applicazioni di terze parti ai propri sistemi di IAM.

I principali benefici della Modern Authentication sono:

  • semplificazione dell’esperienza utente, che interagisce con un singolo IdP per tutte le autenticazioni;
  • maggiore protezione delle credenziali e riduzione dei rischi associati alla loro condivisione con sistemi terzi;
  • semplificazione del processo di on-boarding e gestione delle identità nelle applicazioni.

Questo ultimo tema è particolarmente rilevante nei progetti di digital transformation: l’impiego di IAM e Modern Authentication rimuove la necessità di sviluppare interfacce amministrative per le utenze nelle nuove applicazioni e riduce l’impatto sull’utente dell’attivazione di nuove applicazioni digitali, facilitando così la transizione.

I protocolli SAML e OAuth/OpenID consentono, inoltre, di realizzare la federazione di Identity Provider esterni, abilitando l’impiego di credenziali digitali gestite da terze parti. Si pensi ad esempio a SPID, il Sistema Pubblico di Identità Digitale, attraverso il quale i cittadini italiani titolari di una identità digitale emessa da uno dei soggetti autorizzati, possono accedere ai siti della PA e dei fornitori di servizi collegati.

IAM, Modern Authentication e SPID: centralizzare le credenziali

Implementando IAM e Modern Authentication è possibile federare l’IdP con SPID ed estendere l’uso di queste identità digitali a tutte le applicazioni collegate al proprio IdP, con una considerevole riduzione dei costi di sviluppo e manutenzione.

La centralizzazione delle credenziali, oltre a introdurre sensibili benefici per l’utente che se ne vede ridurre il numero, comporta però un aumento del rischio collegato all’eventuale compromissione delle credenziali. Per mitigare questo rischio devono essere adottate opportune misure di protezione delle credenziali.

Oltre alle misure tradizionali (lunghezza minima, complessità della password, limitazione della validità nel tempo), sono ormai diffusi meccanismi di autenticazione a fattori multipli che aggiungono alla tradizionale coppia di informazioni (username e password) un codice temporaneo (One Time Password o OTP).

I codici OTP possono essere:

  • generati periodicamente da token fisici o virtuali attraverso un’applicazione mobile, sincronizzati con un sistema di autenticazione centrale;
  • generati su richiesta e inviati attraverso un canale alternativo (e-mail, SMS ecc.);
  • generati su richiesta e inviati ad un’applicazione mobile a sua volta protetta dai meccanismi di autenticazione del dispositivo, spesso basati su fattori biometrici.

L’impiego di autenticazione a fattori multipli, insieme a Modern Authentication e Identity & Access Management consente di ridurre i costi di gestione, ridurre il tempo di sviluppo e adozione di nuovi servizi digitali, facilitare l’esperienza utente ed aumentare la sicurezza delle credenziali di accesso.

L’impiego di queste metodologie si rivela quindi uno strumento di grande importanza per i progetti di digital transformation e per l’implementazione delle corrette politiche di gestione dei dati personali, secondo i principi del GDPR.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr